La fraude bancaire.
Il convient de préciser que l’authentification forte peut être
contournée par des attaques contre les smartphones qui ont régulièrement
lieu afin de voler les identifiants du compte bancaire, les données ou
les codes reçus par SMS.
Il résulte également de la presse spécialisée du monde du numérique
que les données bancaires (numéros et code de validation CVV) de plus de
46 000 cartes bancaires françaises sont proposées, gratuitement, sur le
Dark web.
La législation applicable en cas de fraude bancaire.
En application de l’article L133-18 du Code Monétaire et Financier,
en cas d’opération de paiement non autorisée signalée par l’utilisateur
dans les treize mois suivant la date de débit, le prestataire de
services de paiement du payeur rembourse immédiatement au payeur le
montant de l’opération non autorisée et, le cas échéant, rétablit le
compte débité dans l’état où il se serait trouvé si l’opération de
paiement non autorisée n’avait pas eu lieu.
Régulièrement, l’établissement bancaire tente de refuser de
rembourser en invoquant une opération autorisée par le client et dès
lors une négligence grave de sa part.
Or, c’est suite à la fraude que le client a donné son autorisation.
La jurisprudence récente en matière de fraude aux « faux conseiller ».
Par jugement du 11 janvier 2024 le tribunal judiciaire de Paris
(n°23-02421) et le tribunal judiciaire de Versailles par jugement du 22
mars 2024, ont jugé qu’il n’y avait pas de négligence grave dans des
affaires de fraudes au « faux conseiller ».
De même, la Cour d’Appel de Douai dans un arrêt du 5 janvier 2023 (n° 21/04625) a jugé :
« le client a été rappelé par une personne qui connaissait son
nom, son numéro de téléphone, sa banque et sa conseillère, usait d’une
fausse qualité. Monsieur X soudainement alerté de la tentative de fraude
bancaire dont il était victime, a pu être rassuré par le fraudeur, qui a
réussi à tromper sa vigilance, en employant des manœuvres frauduleuses…
Dès lors, il n’a pas eu conscience qu’il communiquait les codes au
fraudeur, et non à un proposé des banques comme cela lui avait été
indiqué… Étant rappelé que ces faits se sont déroulés dans un court laps
de temps, ce qui est propice à la manipulation, en raison de l’état de
panique, de la victime, sur lequel compte le fraudeur pour parvenir à
ses fins ».
Il convient d’être extrêmement précis sur le déroulement des faits afin de contester la négligence grave.
Les décisions judiciaires en matière d’hameçonnage ("phishing").
Suite à la réception d’un email frauduleux, le client pense régler un achat et communique les éléments de sa carte bancaire.
Selon la jurisprudence, quelques erreurs liées à des fautes
d’orthographe et l’emploi de quelques mots dans un sens inapproprié,
tels que : « nous vous prions de bien vouloir confirmer votre
attention dans un délai de 48 heures, tous les détails demandés afin d’
éviter tout dysfonctionnement lié à votre compte », ne sont pas suffisants pour que le payeur comprenne qu’il est face un acte de hameçonnage [1].
De même d’autres juridictions ont pu également considérer que des
anomalies infimes n’avaient pas à être prises en considération comme :
« l’absence de “Paribas”, après le terme, « services–client BNP » figurant sous "nouveau message" dans le cartouche supérieur »
qui était d’autant plus difficile à discerner qu’il s’agissait de
petits caractères figurant dans une entête qui n’est ni le titre, ni le
contenu du message et à laquelle il n’existe pas de raison de prêter
attention alors que le regard du lecteur se porte spontanément vers le
message lui-même et non sur son cadre [2].
Ainsi, souvent, il s’agit des mêmes faits dans la mesure où une faute
d’orthographe et /ou l’emploi d’un mot dans un sens inapproprié figure
dans l’email frauduleux.
Cependant, on ne saurait oublier que les conseillers-clientèles font également des fautes d’orthographes…
De même, s’agissant de l’adresse mail du message frauduleux, l’erreur
sera plus facilement excusable ou du moins compréhensive si l’adresse
mail du message frauduleux comporte bien le nom de la banque comme pour
sa véritable adresse.
À l’inverse, la jurisprudence relève la négligence grave pour un intitulé qui diffère :
- “Caisse Épargne” au lieu de “Caisse d’épargne”.
- en cas d’absence d’adresse mail de l’expéditeur au lieu de l’adresse habituelle de la banque,
-
un contenu comportant des lettres majuscules en milieu de mots ou de
phrases ainsi que des fautes d’orthographe ou une minuscule en début de
phrase, des absence de ponctuation, ou d’accents [3].
Dès lors, quelques anomalies ne peuvent être invoquées à l’appui d’une négligence grave.
Par ailleurs, selon la jurisprudence, en cas d’hameçonnage, la banque
doit prouver que les opérations ont été authentifiées, dûment
enregistrées et comptabilisées et, surtout, non affectées par une
déficience technique ou autre [4]. Ce qui n’est pas aisé.
Ainsi, il existe des moyens de se défendre en cas de négligence grave
invoquée par la banque pour refuser de procéder au remboursement.
